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Методы оценки эффективности систем 
защиты информационных систем 


В работе классифицирован подход к определению качества систем защиты информации, приведены 
показатели оценки качества и особенности расчета показателей. Описана модификация алгоритма Балаша, 
позволяющая минимизировать вычислительные затраты за счет использования целочисленных переменных, 
операций сложения и вычитания и выбора лучшего направления спуска по дереву решений, присущего 
методам типа ветвей и границ. Предложена методика оценки вычислительной сложности алгоритма, 
использующего эту модификацию. 


Введение 


Высокие требования, предъявляемые к уровню информационной безопасности 
компаний, использование систем связи и передачи данных предопределяют необходи- 
мость проведения оценки эффективности систем защиты. Это сложная организационно- 
технологическая задача, решение которой находится комплексно и требует системного 
подхода. 

Трудности определения количественных и качественных оценок эффективности 
системы защиты информации (СЗИ), а следовательно, и объективного подтверждения 
эффекгивности СЗИ, коренятся в несовершенстве существующего нормативно-методи- 
ческого обеспечения информационной безопасности в сложившихся в информационных 
технологиях подходах, которые принципиально отличаются от разработанных в тради- 
ционной инженерии. Недостаточно проработана система показателей информационной 
безопасности, в неудовлетворительном состоянии находятся критерии безопасности. 

Как отмечали участники конференции директоров по информационной безопас- 
ности Киззап СЗО Зитийй-2008, академических работ по этой теме проводится очень 
мало, а постоянно изменяющийся перечень угроз и отсутствие единого подхода к 
оценке эффективности СЗИ делает поставленную задачу необходимой и актуальной. 


Анализ исследований и предшествующие публикации 


Существует обширная литература, посвященная проблемам информационной 
безопасности в информационных системах и сетях передачи и обработки инфор- 
мации. Задачи создания, организации и исследования процессов функционирования, 
совершенствования и развития СЗИ в той или иной степени нашли отражение в 
трудах ряда отечественных и зарубежных ученых, среди которых Е.С. Вентцель, 
В.Ю. Гайкович, В.А. Галатенко, В.А. Герасименко, В.И. Гарбарчук, Ю.В. Демченко, 
В.И. Завгородний, В.К. Задирака, А.Г. Карпов, В.В. Лебедев, В.В. Мельников, В.С. Миха- 
левич, А.Н. Назаров, А.С. Олексюк, А.Ю. Першин, А.З. Пескозуб, А.П. Пятибратов, 
В.К. Размахнин, С.П. Расторгуев, Ю. Самохин, И.В. Сергиенко, А.В. Соколов, А.В. Спе- 
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сивцев, С.Е. Сталенков, Г.В. Фоменков, Ю.В. Щеглов, С. Шатт, Д. Шепелявый, Г.Е. Ше- 
питько, В.В. Шураков, В.Ф. Шаньгин и многие другие [1-4]. Исследования ряда проб- 
лем в указанной области проводились и автором статьи [5]. Однако до настоящего 
времени в полной мере не изучены и остаются дискуссионными методологические, 
методические и практические аспекты исследования целевой и экономической эффек- 
тивности сложных систем. 


Цель работы 


Целью выполнения работы явились: анализ и систематизация методов оценки 
систем защиты информации, разработка концептуальной методики оценки эффек- 
тивности системы защиты информации с использованием модификаций современных 
алгоритмов. 


Основной материал 


Информационная система — это сложная, распределенная в пространстве система, 
состоящая из множества сосредоточенных (локальных) подсистем (информационных 
узлов), располагающих программно-аппаратными средствами реализации информацион- 
ных технологий, и множества средств, обеспечивающих соединение и взаимодействие 
этих подсистем с целью предоставления территориально удаленным пользователям 
широкого набора услуг из сферы информационного обслуживания. 

Наличие средств защиты информации является характерной чертой любой 
современной информационной системы. Эффективность защиты информации в 
информационных системах достигается применением средств защиты информации. 

В настоящее время на рынке представлено большое разнообразие средств 
защиты информации, которые условно можно разделить на несколько групп: 

— обеспечивающие разграничение доступа к информации в автоматизированных 
системах; 

— обеспечивающие защиту информации при передаче ее по каналам связи; 

— обеспечивающие защиту от утечки информации по различным физическим полям, 
возникающим при работе технических средств автоматизированных систем; 

— обеспечивающие защиту от воздействия программ-вирусов; 

— обеспечивающие безопасность хранения, транспортировки носителей информации и 
защиту их от копирования. 

Однако ни одно отдельно выбранное средство защиты информации не может 
защитить от многообразия существующих угроз безопасности, а простая комбинация 
разнообразных средств защиты приводит к снижению эффективности защиты в 
целом из-за возможной конфликтности разрозненных средств защиты. Поэтому в 
последнее время наметилась тенденция к построению сложных систем информа- 
ционной безопасности. 

Система защиты информации (СЗИ) — это сложный комплекс программных, 
технических, криптографических организационных и иных средств, методов и 
мероприятий, предназначенных для защиты информации. 

Эффективность СЗИ можно охарактеризовать как способность системы противо- 
стоять несанкционированным действиям нарушителя в рамках проектной угрозы. Таким 
образом, эффективность СЗИ и характеризует уровень защищенности объекта. Сущест- 
вуют качественные и количественные методы анализа эффективности СЗИ. Во многих 


254 «Искусственный интеллект» 42008 


Методы оценки эффективности систем защиты информационных систем ЗМ 


случаях качественных оценок не достаточно, чтобы ответить на вопрос, насколько 
надежна защита объекта. Более точны количественные методы. Однако для того, чтобы 
«измерить» эффективность, необходимо иметь обоснованный критерий (показатель 
оценки эффективности системы). На практике встречаются следующие типы критериев. 

1. Критерии типа «эффект-затраты», позволяющие оценивать достижение целей 
функционирования СЗИ при заданных затратах (так называемая экономическая эффек- 
ТИВНОСТЬ). 

2. Критерии, позволяющие оценить качество СЗИ по заданным показателям и 
исключить те варианты, которые не удовлетворяют заданным ограничениям. При 
этом используются методы многокритериальной оптимизации, восстановления функ- 
ций и функционалов, методы дискретного программирования. 

3. Искусственно сконструированные критерии, позволяющие оценивать интег- 
ральный эффект (например, «линейная свертка» частных показателей, методы теории 
нечетких множеств). 

Для оценки качества системы защиты могут быть использованы междуна- 
родные стандарты 1ЗОЛЕС 17799 и 1ЗОЛЕС 15408. В первом из них предлагается 
расширенный перечень аспектов информационной безопасности. Он начинается с 
принципов разработки политики безопасности, включает основы проверки системы 
на соответствие требованиям информационной безопасности, содержит практические 
рекомендации. 

Стандарт ГЗОЛЕС 15408 определяет критерии безопасности информационных 
технологий. В нем не приводится список требований по безопасности, но положения 
стандарта позволяют сформулировать цели безопасности, направленные на обеспечение 
противостояния угрозам и выполнение политики безопасности, т.е. те цели, которые 
должны использоваться как основа для оценки свойств безопасности продуктов, систем 
и информационных технологий. Стандарт описывает инфраструктуру, в которой 
пользователи системы могут сформулировать требования, а эксперты по безопасности 
определить, обладает ли продукт заявленными свойствами. 

Эффективность функционирования СЗИ зависит от множества действующих 
взаимосвязанных между собой элементов и, как правило, оценивается совокупностью 
критериев, находящихся в сложных конфликтных взаимоотношениях. 

Отсутствие на сегодняшний день общего подхода к решению задач данного 
класса закономерно влечет за собой многообразие различных не взаимосвязанных 
методов оценки качества. 

Процесс определения эффективности систем защиты начинают с выбора и 
обоснования показателей (критериев) оценки эффективности системы защиты, а затем 
переходят к подбору или разработке методик расчета этих показателей. В табл. 1 
приведены условные названия используемого подхода к выбору критериев и оценке 
параметров, показатели эффективности систем защиты и методики их расчета. 

Наиболее распространенными методами оценки эффективности СЗИ, исполь- 
зуемыми при так называемом оптимизационном или комбинаторном подходе, явля- 
ются: аддитивный метод Балаша и метод ветвей и границ, относящийся к классу 
задач дискретного программирования с булевыми переменными. Указанные методы 
используются как для построения новой СЗИ, так и для оценки качественных 
характеристик существующей СЗИ или выбора оптимальной СЗИ из набора, рекомен- 
дуемого к применению. 
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Одним из способов оценки эффективности СЗИ является подход, обозначенный 
в таблице как оптимизационный или комбинаторный. При этом решается задача 
оптимизации вида: максимизировать некую функцию при заданных ограничениях. 

Вид функции цели и система ограничений строятся в зависимости от нюансов 
поставленной задачи [10]. Так, если ввести нижеследующие обозначения, то можно 
рассмотреть несколько вариантов постановки. 

Итак, пусть: 

О = {&;} — множество угроз безопасности, ] = 1,...1; 

А = {а;} — множество механизмов безопасности, 1 = 1,...п; 

С = {сп} — допустимые затраты на создание защиты (общий объем затрат), причем с!:— 
это затраты на приобретение 1-го средства защиты; 

9(1)) - эффективность нейтрализации 1-м механизмом безопасности ]-й угрозы. 

Для построения математической модели введем переменные р(1,]) (у(1)), 
равные 1, если ]-я угроза устраняется с помощью 1-го механизма, и нулю - в 
противном случае и 4, такую, что 


Е 1] — если 1-й механизм безопасности и спользуется для устранения }-й угрозы; 
0 —в противном случае. 
Вначале считаем, что информационные угрозы между собой не связаны. 
Первая задача — найти максимальный эффект от нейтрализации множества 
информационных угроз Ч с помощью задекларированных в системе средств защиты 
А при ограничениях на общий объем затрат С. 


>>. 4, ПРЕ, = тих (1) 
при ограничениях _. 
У‹® * 5101 Уре <С (2) 
ыы ие 
Р(ЬЛ)Е (10), ]=1,...щ; 1=1,...0. (3) 
Вторая задача — вариант, когда уровень информационной безопасности 


определяется СЗИ с наименьшей эффективностью. В этом случае функция цели в 
формальной постановке задачи имеет вид: 


п 
ши »`4(, ЛР Л=> тах, (4) 
1=1 
а ограничения (2) и (3) остаются теми же. 

Третья задача — случай, когда появление одной угрозы и; является источником 
для другой, т.е. информационные угрозы не являются независимыми. В этом случае 
функция цели имеет вид (1), но пределы суммирования меняются — по первой сумме 
это перечень основных, а по второй — порожденных угроз. Вместо функции р(1,]) 
используется 4(1,]). 

Четвертая задача — это задача минимизации затрат на СЗИ при ограничении 
на заданный уровень эффективности. При этом алгоритм решения дополняется 
процедурой поиска максимальных элементов в каждом столбце матрицы 4(1,]) 
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и расчетом наивысшего уровня эффективности Р, равным сумме найденных 
максимальных элементов: 


Ус ы ету ра.) —> шт 

15 = 
ХЛ амах ЧР 
Е Ри 


Ра) (0), ]=1,...щ; 1=1,...п. 


Для решения задач указанного типа могут быть использованы методы Балаша 
для целочисленных переменных, ветвей и границ, исключения группы неизвестных, 
элементы теории двойственности, инструментарий линейного, выпуклого и 
параметрического программирования. 

Повышение быстродействия рассматриваемых алгоритмов является актуальной 
задачей, т.к. между временем выполнения вычислений и размерностью задачи 
существует экспоненциальная зависимость. А размерность задачи, в свою очередь, 
зависит от сложности СЗИ, которая возрастает по мере появления новых угроз 
безопасности, и усложнением, связанным с развитием самой информационной 
системы, для которой создана система защиты. 

Известно [11], что в аддитивном алгоритме Балаша требуется выполнение 
только операций сложения и вычитания, но процесс определения, существует ли 
дополнение решения, дающее значение целочисленной функции, превышающее 
текущую нижнюю оценку, поиск самой нижней оценки оптимального значения 
целочисленной функции не эффективен. Также при заданном частичном не всегда 
удается определить, какое значение должна иметь свободная переменная при любом 
допустимом дополнении и в случае, когда значение целевой функции превосходит 
текущую нижнюю оценку. В случае полного перебора, вычислительная сложность 
метода составляет (и) = О(п2”) операций. 

Метод ветвей и границ относится к комбинаторным методам. Со схемой 
вычислений по методу ветвей и границ можно ознакомиться в [11]. Вычислительная 
сложность метода О(2" (т-+1)) , где п — число вершин графа дерева решений, который 
образуется в процессе поиска решения, а т — количество ограничений. 

К достоинствам метода следует отнести гибкость построения, позволяющую 
эффективно использовать специфику решаемой задачи. Однако исследователи 
отмечают зависимость объема вычислений, необходимых для решения задачи, от 
выбранной стратегии ветвления и способа вычисления оценок. Метод позволяет при 
построении верхних и нижних оценок функционала использовать эвристические 
методы и при определенных условиях получать точные или приближенные по 
функционалу с априорно заданной погрешностью решения. 

Оба метода основываются на последовательном анализе вариантов, но используют 
различные подходы для отсева подмножеств, не содержащих оптимальных решений. 
В методе Балаша отсев производится на основании принципа оптимальности. В методе 
ветвей и границ отсев производится с применением нижних оценок на подмножествах. 

Учитывая сказанное, сформулируем следующее утверждение: алгоритм, со- 
вмещающий положительные качества этих алгоритмов (операции целочисленного 
сложения и вычитания в алгоритме Балаша и продвижение по графу дерева решений 
в наилучшем направлении для метода ветвей и границ) является эффективным по 
сравнению с исходными с точки зрения теории вычислительной сложности. 
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Описание алгоритма. 

Шаг 1. Задается значение функции цели так, чтобы оно соответствовало 
решению, при котором все р(1,]) = 0 (текущая нижняя оценка оптимального решения 
равна 0 (2 =0). Возможно нахождение нижней оценки оптимального значения этой 


функции с помощью метода ветвей и границ. 

Шаг 2. Проверить основной список задач и закончить вычисление, если он 
пуст. В противном случае выбрать очередную задачу из основного списка и 
вычеркнуть ее из него. При этом на множестве полученных оценок выделяют 
«лучшую» и ближайшую к ней. 

Шаг 3. Установить, существует ли допустимое дополнение, у которого значение 
функции цели превосходит текущую нижнюю оценку оптимального решения. Если 
можно найти свободные переменные, которые должны иметь определенные значения 
при любом дополнении, когда значение целевой функции превосходит текущую 
нижнюю оценку оптимального решения, то следует расширить выбранное частичное 
решение. Если можно установить, что не существует допустимого дополнения, у 
которого значение целевой функции превосходит значение текущей нижней оценки 


= _ „® 
оптимального решения, то положить “В = 


В противном случае перейти к четвертому шагу. 

Шаг 4. Если расширенное частичное решение содержит все п переменных (т.е. 
является полным), то зафиксировать его и вернуться ко второму шагу. В противном 
случае перейти к пятому шагу. 

Шаг 5. Выбирается любая свободная переменная, не входящая в расширенное 
частичное решение. Используются элементы метода ветвей и границ. Вводятся две 
новые задачи в основной список. В одной из них положить р(1,]) = 0 в расширенном 


в 204) „0 
решении, а в другой — р(1,]) = 1. Положить #0 = 70 и вернуться ко второму шагу. 


Шаг 6. Если зафиксировано допустимое решение, при котором целевая функция 
не изменилась, это решение оптимально. 

Сокращение числа операций сравнений достигается благодаря выбору «луч- 
шей» ближайшей оценки на втором шаге каждой итерации. Если считать, что ко 
второму шагу, содержащему элементы метода ветвей и границ, мы обращаемся в 3-х 
случаях из четырех, то вычислительная сложность комбинированного алгоритма 


и вернуться ко второму шагу. 


составит Г(п) = О(3п2”?), что, естественно, меньше предыдущей оценки. Экспери- 


ментальная оценка подтверждает эффективность совмещенной стратегии движения 
по дереву решений. 

Таким образом, предложен эффективный алгоритм решения задачи определения 
эффективности функционирования сложной системы. 

Приведем методику оценки качества СЗИ с использованием оптимизационного 
подхода. 

1. Составляется сценарий развития опасности (граф вида «дерево»), представля- 
ющий собой логико-вероятностную модель функционирования СЗИ. Это двудольный 
граф С (АО), такой, что вершины множества в А отвечают аппаратным и программным 
средствам защиты, а вершины множеств в Ц — соответствующим информационным 
угрозам. Каждый элемент (вершина) множества А характеризуется ценой и 
эффективностью по нейтрализации информационных угроз. Каждой вершине мно- 
жества О присваивается вес, равный стоимости, что соответствует СЗИ, а каждой дуге — 
вес р(1.]) = {1,0}. Конечное событие описывает опасное состояние системы. 
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2. Аналитически граф описывается с помощью целевой функции опасности 
системы и системы ограничений. 

3. С помощью логико-вероятностных преобразований функция опасности систе- 
мы приводится к одной из канонических форм и заменяется вероятностной функцией 
р(.]). При этом необходимо иметь вероятности инициирующих событий, планируемые 
затраты на создание защиты и задать эффективность нейтрализации угрозы. Значе- 
ние вероятностной функции р, при которой значение функции опасности и равно 
единице, определяет степень риска, присутствующего в системе. 

4. Применяя только операции сложения и вычитания (алгоритм Балаша) 
находят частичные решения, при этом выбор на втором и пятом шагах может 
основываться на информации, полученной с помощью метода ветвей и границ. 

Применяя эффективные правила выбора на втором и пятом шагах, можно 
найти допустимое по всем ограничениям и близкое к оптимальному решение уже на 
начальных итерациях. 

Вычислительная сложность алгоритма тесно связана с числом целочисленных 
переменных. В данном алгоритме объем вычислений определяется прежде всего 
числом задач, входящих в основной список. 

В заключение следует отметить графический способ демонстрации эффективности 
защиты, заключающийся в следующем (по аналогии с методом «ПАУК-ЦИС»). 

Значение параметров элементов системы в начальный момент времени прини- 
маем за 100 %. «Опасное» значение параметров соответствует воздействию макси- 
мального числа угроз на систему. 

Диаграмма состояния строится в полярных координатах. Оси, на которых отме- 
чаются значения параметров, направлены радиальные линии от центра окружности к 
периферии -— это оси, на которых отмечаются значения параметров (рис. 1). 


Рисунок 1 — Графический способ демонстрации эффективности системы защиты: 
1 — нормальное состояние элемента системы; 2 — текущее состояние элемента 
системы; 3 — «опасное» состояние элемента информационной системы 


Все данные откладываются на графике в процентах в начальный момент 
времени, каждый параметр равен 100 %. Строится фигура, которая будет отвечать 
допустимому состоянию системы. Эта фигура строится по минимальным величинам 
каждого из параметров. При пересечении фигурой 2 хотя бы в одной точке фигуры 3 
следует срочно принимать меры по устранению угрозы безопасности. 
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При этом. 

1. Количество контролируемых параметров для одного элемента технической 
системы должно быть не меньше двух. 

2. Контролируемый параметр должен иметь количественную оценку. 

3. Значения параметра откладываются на соответствующей оси в процентном 
выражении. 

Возможна оценка состояния системы на основе анализа площадей много- 
угольников, а именно: 

Начальное состояние элемента вычисляется по формуле (п — количество контроли- 
руемых системой параметров -— угроз безопасности): 


С=> В. <-$. 


> 


5 — площадь допустимого многоугольника: 


п 
Е =—: 2. а 
у , 
ь $60 
& — центральный угол вычисляется по формуле: &= —. 
Е: 
К — радиус описанной окружности, В=1. 
Ш 
Фактическое состояние системы: Сф= уз о 


Текущее изменение состояния системы влечет определение площади многоуголь- 
ника, равной сумме площадей треугольников по формуле: 


где и; — величина параметра. 
Далее можно определить относительную или абсолютную величину защищенности 
системы: 


Р=Сн-(С, - 55) $5. 


|@ 
5 {@) — С 


н 
Параметр покажет, насколько элемент системы изменил свои свойства (в %) за 
определенный промежуток времени. После определения состояния каждого 
элемента системы выполняется оценка всей системы. 


Заключение 


В одной статье невозможно описать все многообразие методов, применяемых 
для анализа эффективности СИБ. В числе других методов можно отметить методику 
оценки эффективности д.т.н. Г.Е. Шепитько, основанную на статистике угроз, 
критерий экономии от ущерба д.т.н. Э.И. Абалмазова и другие методы. 

Полученные результаты свидетельствуют, что ни один из методов не лишен 
недостатков. Поэтому для решения подобных систем следует подобрать комбинацию 
методов, например, на первом этапе решать задачу комбинаторным методом по 
каждому из ограничений. Полученные в результате решения использовать для оценки 
верхней и нижней границы целевой функции. На втором этапе решать задачу методом 
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ветвей и границ и определить способ разбиения всего множества допустимых вариантов 
на подмножества, а также способ оценки верхней границы целевой функции. А с целью 
уменьшения числа вычислительных операций использовать метод Балаша. 
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Н.О. Маслова 

Методи ощнки ефективност! систем захисту нформащйЙних систем 

У робот! класифжований шдхд до визначення якост! систем захисту 1нформацй, наведен! показники 
ощнки якост! й особливост! розрахунку показникв. Описана модифлкащя алгоритму Балаша, яка 
дозволяе мин!мзувати обчислювальн! витрати за рахунок використання шлочисельних перем1нних, 
операшй додавання 1 вирахування 1 вибору кращого напрямку спуску деревом ришень, властивого 
методам типу плок 1 границь. Запропоновано методику обчислювально! складност! алгоритму, який 
використовуе цю модифукацию. 
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